JP2012510650A - Protecting virtual guest machines from attacks by infected hosts - Google Patents
Protecting virtual guest machines from attacks by infected hosts Download PDFInfo
- Publication number
- JP2012510650A JP2012510650A JP2011525050A JP2011525050A JP2012510650A JP 2012510650 A JP2012510650 A JP 2012510650A JP 2011525050 A JP2011525050 A JP 2011525050A JP 2011525050 A JP2011525050 A JP 2011525050A JP 2012510650 A JP2012510650 A JP 2012510650A
- Authority
- JP
- Japan
- Prior art keywords
- machine
- compliance
- host machine
- guest
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 10
- 230000036541 health Effects 0.000 claims description 43
- 230000007366 host health Effects 0.000 claims description 43
- 238000000034 method Methods 0.000 claims description 28
- 238000005192 partition Methods 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 16
- 238000011156 evaluation Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 5
- 238000013069 global supply chain management Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 241000700605 Viruses Species 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims description 2
- 230000006855 networking Effects 0.000 claims description 2
- 230000003862 health status Effects 0.000 claims 3
- 230000009471 action Effects 0.000 description 13
- 238000007726 management method Methods 0.000 description 9
- 230000001010 compromised effect Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000001994 activation Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013455 disruptive technology Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
仮想化環境(100)において、ゲストマシン(205)が操作可能であるホストマシン(210)は、(現在のセキュリティのパッチを最新にすること、アンチウイルスプログラムを実行すること、ゲストマシンを実行するために認証されること等の)適用可能なポリシーに準拠することにより健全であるか否か、及びゲストマシン(205)のセキュリティを妨害又は侵害する可能性のあり得る悪意のあるソフトウェア又はマルウェア(malware)から自由であるか否かを判定するために監視される。ホストマシン(210)が準拠していないことが発見された場合、ゲストマシン(205)がホストマシン(210)上で起動すること又はネットワーク(223)に接続することのいずれかを防ぎ、仮想化環境(100)の全体が準拠していて、データー及びアプリケーション等を含んでいるゲストマシン(205)が、不健全なホストマシン(210)上で実行している悪意のあるコードを介して、それに対して立ち上げられる可能性のある攻撃に対して保護されるか、又は準拠していないことを修正できるまでネットワーク(223)から隔離されることを保証する。 In the virtual environment (100), the host machine (210) on which the guest machine (205) can be operated (update the current security patch, execute the anti-virus program, execute the guest machine) Malicious software or malware that may be healthy by complying with applicable policies (such as being authenticated) and that may disrupt or compromise the security of the guest machine (205) Monitored to determine if it is free from malware). When it is discovered that the host machine (210) is not compliant, the guest machine (205) is prevented from being started on the host machine (210) or connected to the network (223), and virtualized. The entire environment (100) is compliant, and the guest machine (205) containing data, applications, etc. is passed through malicious code running on an unhealthy host machine (210) It is protected against attacks that could be launched against it, or it is guaranteed to be isolated from the network (223) until it can correct the non-compliance.
Description
仮想化は、あるコンピューティングリソースを他から隔離又は分離させることにより、IT(Information Technology)インフラストラクチャーをより効果的及び効率的に利用可能にする広範囲の関わりで重要な戦略である。この戦略は、データーセンターからデスクトップへのコンピューティングの積み重ねのすべてのレイヤーに適用される可能性がある。静的コンピューティング環境で典型的であるように多様なレイヤーを一緒にロックするよりむしろ、つまりOS(Operating System)からハードウェア、アプリケーションからOS、及びユーザーインターフェースからローカルのコンピューティングデバイスであり、仮想化は、互いに有するこれらの部分の直接の依存をなくすことを狙う。 Virtualization is an important strategy with a wide range of implications that make information technology (IT) infrastructure more effective and efficient available by isolating or isolating one computing resource from another. This strategy may be applied to all layers of computing stacks from the data center to the desktop. Rather than locking various layers together as is typical in a static computing environment, OS (Operating System) to hardware, applications to OS, and user interface to local computing devices, virtual The aim is to eliminate the direct dependence of these parts on each other.
このようなデーターセンターからデスクトップへの仮想化は、新しいハードウェア又は設定コンポーネントを獲得することなく、迅速に新しい性能を展開することを可能にする。テスト要件及びアプリケーションの互換性の問題が少なくなり、自動処理が簡略化し、障害リカバリーの性能の実装がより簡単になる。デスクトップ上での仮想化は、顧客又は会社の従業員が、必要なアプリケーションがどこに配置されていたとしてもそれらにアクセスすることが可能になるインフラストラクチャーを作成するのに役立つ。例えば、ユーザーは、ゲストマシンを実装するために仮想化の製品及び技術を使用して、仮想的に任意の位置からホストマシンを使用し、それらのアプリケーション、データー、設定及び優先度の性能の全てにおいて、パーソナライズ化されたデスクトップにアクセスできる。 Such data center to desktop virtualization allows new capabilities to be deployed quickly without acquiring new hardware or configuration components. Test requirements and application compatibility issues are reduced, automated processing is simplified, and failure recovery performance is easier to implement. Virtualization on the desktop helps customers or company employees create an infrastructure that allows them to access the required applications wherever they are located. For example, a user can use a host machine from virtually any location, using virtualization products and technologies to implement guest machines, and all of their application, data, configuration and priority performance Access your personalized desktop.
この背景技術は、続く詳細な説明及び概要の簡単な背景を導くために提供される。この背景技術は請求された主題の範囲を決定する際に考慮されることを意図しておらず、上記の不利又は問題の任意又は全てを解決するために請求された主題を限定するものとして見られることも意図していない。 This background is provided to provide a brief background of the detailed description and overview that follows. This background art is not intended to be considered in determining the scope of the claimed subject matter and is viewed as limiting the claimed subject matter to solve any or all of the above disadvantages or problems. It is not intended to be.
仮想化環境において、ゲストマシンが、不健全(unhealthy)に感染したホストマシン上で操作可能であり、ホストマシンにより攻撃されているゲストマシンの脅威は、(現在のセキュリティのパッチを最新にすること、アンチウイルスプログラムを実行すること、ゲストマシンを実行するために認証すること等の)適用可能なポリシーに準拠することにより健全であるか否か、及び、ゲストマシンのセキュリティを妨害又は侵害する可能性のある悪意のソフトウェア又はマルウェア(malware)から自由であるか否かを判定するために、ホストマシンが監視される編成により対処される。ホストマシンが準拠していないことが発見される場合、ゲストマシンがホストマシン上に起動すること又はネットワークに接続することのいずれかを防ぎ、仮想化環境の全体が準拠していて、データー及びアプリケーション等を含んでいるゲストマシンが、不健全なホストマシン上で実行している悪意のあるコードを介して、それに対して立ち上げられる可能性のある攻撃に対して保護されるか又は準拠していないことを修正できるまでネットワークから隔離することを保証する。 In a virtualized environment, guest machines can operate on unhealthy infected host machines, and the threats of guest machines being attacked by host machines are (update current security patches Whether it is healthy by complying with applicable policies (such as running anti-virus programs, authenticating to run guest machines, etc.) and can interfere with or compromise the guest machine's security The host machine is addressed by the monitored organization to determine if it is free from sexual malicious software or malware. If the host machine is found to be non-compliant, it prevents either the guest machine from booting on the host machine or connecting to the network, the entire virtualization environment is compliant, and data and applications Etc. are protected or compliant with attacks that could be launched against malicious code running on unhealthy host machines. Ensure that you are isolated from the network until you can fix it.
多様な例示的な例において、ゲストマシン上で実行しているゲストのヘルスエージェント(health agent)は、ゲスト上に格納された又は準拠ポリシーサーバーから受け取った1以上の準拠ポリシーでホストの準拠を検査するためのゲストの起動処理の間にホストマシン上のホストのヘルスエージェントと通信するように構成される。ホストマシンが準拠していないことが発見される場合、ゲストマシンがユーザーにエラーメッセージを表示する可能性があるので、ホストマシンの準拠していないことを修正できる。例えば、適切なパッチをインストールすること、アンチウイルスアプリケーション又はアップデートを除くこと等による。ホストマシンが既に準拠している場合、又は準拠となるように修正されていた後の場合、ゲストマシンは仮想化環境を実現するためのブート処理を完了することができ、ユーザーのデスクトップ、アプリケーション及びデーターは、ゲストマシン上で使用可能となる。 In various illustrative examples, a guest health agent running on a guest machine checks host compliance with one or more compliance policies stored on the guest or received from a compliance policy server. Configured to communicate with the host health agent on the host machine during the guest boot process. If it finds that the host machine is not compliant, it can fix the host machine's non-compliance, as the guest machine may display an error message to the user. For example, by installing appropriate patches, removing anti-virus applications or updates, etc. If the host machine is already compliant, or after it has been modified to be compliant, the guest machine can complete the boot process to achieve a virtualized environment, and the user's desktop, application and The data will be available on the guest machine.
ホストマシンの準拠状態は、仮想化の環境が初期化されて操作可能である後に、定期的に検査される可能性もある。例えば、ゲストマシンが企業又は会社のネットワーク等のネットワークへの接続を試みる場合、ゲストのヘルスエージェントは、ホストマシンの現在のヘルスを示すホストのヘルスエージェントから準拠の宣言を要求する可能性がある。ネットワークアクセスが許可される前に、施行ポイントにより要求された1以上のポリシーで、ホストマシンの準拠を検証するために、ネットワーク上のリモートのポリシーの施行ポイントに、ゲストのヘルスエージェントにより準拠の宣言を、転送することができる。準拠の宣言が、ホストマシンが適用可能なポリシーに準拠しない(これはホストが危険にさらされており、マルウェアにより感染及び/又は侵害される高い可能性を有することを示す)ことを示す場合、ネットワークアクセスは拒否される。ユーザーはエラーメッセージを提供される可能性があるので、ネットワークアクセスをもう一度試みる前に準拠していないことが修正される可能性がある。 The compliance state of the host machine may be checked periodically after the virtualization environment is initialized and operational. For example, if a guest machine attempts to connect to a network, such as a corporate or corporate network, the guest health agent may request a declaration of compliance from the host health agent indicating the current health of the host machine. Declares compliance by the guest health agent at the remote policy enforcement point on the network to verify host machine compliance with one or more policies requested by the enforcement point before network access is granted Can be transferred. If the declaration of compliance indicates that the host machine does not comply with applicable policies (this indicates that the host is at risk and has a high probability of being infected and / or compromised by malware) Network access is denied. The user may be provided with an error message, which may correct the non-compliance before attempting network access again.
ホストマシンのヘルスの検査の別の例において、仮想化環境の完全性が侵害されている疑いがある場合、ゲストのヘルスエージェントは、適用可能なポリシーへの継続した準拠を検証及び又は確認するために、ホストのヘルスエージェントから準拠の宣言を要求する可能性がある。例えば、ESAS(Enterprise Security Assessment Sharing)セキュリティモデル下のセキュリティ評価は、ネットワーク内のセキュリティ関連情報を監視するために編成されるエンドポイント(つまりセキュリティのゲートウェイのデバイス)で受け取られる可能性がある。この受け取られたセキュリティ評価は、仮想化環境が侵害される疑いを引き起こす可能性がある。ホストマシンを巻き込んでいるセキュリティ事故が疑いを確認又は拒絶するために起きたか否かを判定するために、又はホストの更なる分析を引き起こすために、この準拠の宣言を使用できる。ホストマシンが侵害されていることが確認された場合、ホストマシンを巻き込んでいるセキュリティ事故が対処及び修正されるまで、ゲストマシン上の操作は中断され、ネットワーク接続要求は拒否される等の可能性がある。 In another example of a host machine health check, the guest health agent may verify and / or confirm continued compliance with applicable policies if there is a suspicion that the integrity of the virtualization environment has been compromised. May require a declaration of compliance from the host health agent. For example, a security assessment under an Enterprise Security Assessment Sharing (ESAS) security model may be received at an endpoint (ie, a security gateway device) that is organized to monitor security related information in the network. This received security assessment can cause suspicion that the virtualization environment is compromised. This declaration of compliance can be used to determine whether a security incident involving the host machine has occurred to confirm or reject the suspicion, or to trigger further analysis of the host. If it is confirmed that the host machine has been compromised, operations on the guest machine may be interrupted and network connection requests may be denied until the security incident involving the host machine is addressed and corrected. There is.
有利なことに、ホスト上のマルウェアからの攻撃に対してゲストマシンを保護するための現在の編成は、仮想化された環境においてセキュリティを高めることを可能にする。コンピューティングリソースの分離の基本の仮想化の本質が保持される一方で、ゲストマシン及びホストマシンのセキュリティ分析は、適用可能なポリシーへのホストマシンの準拠を検査及び高める目的で繋げられる。 Advantageously, the current organization for protecting guest machines against attacks from malware on the host allows for increased security in a virtualized environment. While the basic virtualization essence of computing resource isolation is preserved, guest machine and host machine security analysis is tied to the purpose of checking and enhancing host machine compliance with applicable policies.
この概要は、詳細な説明において下記でさらに説明される簡略化された形式における概念の選択を紹介するために提供される。この概要は、請求された主題の主要な特徴又は重要な特徴を特定することを意図せず、特許請求された主題の範囲を判定する助けとして使用されることも意図していない。 This summary is provided to introduce a selection of concepts in a simplified form that are further described below in the detailed description. This summary is not intended to identify key features or important features of the claimed subject matter, nor is it intended to be used as an aid in determining the scope of the claimed subject matter.
図面において同様の参照番号は同様の要素を示している。 In the drawings, like reference numbers indicate like elements.
仮想化は、多くの方法で今日コンピューティングを劇的に変えている破壊的技術である。例えば仮想化は、ユーザー(つまり消費者企業の従業員等の又はビジネスユーザー)が、彼らのデスクトップPC(Personal Computer)から離れるとき、彼ら自身のラップトップコンピューターを運ばなければならないのを回避することを可能にする。代わりに、彼らは、USB(Universal Serial Bus)ドライブ等の携帯できるストレージデバイス上に彼らのデスクトップの画像を運ぶことができ、家のPC、ホテルのキオスク、空港、図書館又はサイバーカフェで公然にアクセス可能なPC、友人の家のコンピューター等の任意のホストコンピューター上の仮想のゲストとしてデスクトップを実行することができる。 Virtualization is a disruptive technology that has dramatically changed computing today in many ways. For example, virtualization avoids users (ie consumer company employees or business users) having to carry their own laptop computer when they leave their desktop PC (Personal Computer). Enable. Instead, they can carry their desktop images on a portable storage device, such as a USB (Universal Serial Bus) drive, and are publicly accessible at home PCs, hotel kiosks, airports, libraries or cyber cafes. The desktop can run as a virtual guest on any host computer, such as a possible PC, a friend's home computer, etc.
ホスト及び1以上のゲストマシンのオペレーティングシステムが実行するパーティションと呼ばれる隔離した複数の論理ユニットを作成することにより、PC等のホストマシン100上で仮想化環境をセットアップすることができる。図1に示すように、仮想化環境102は、ゲストマシンをサポートする1以上の子パーティション1101…Nを作成するために使用される可能性のあるルートパーティション106を通常含む。いくつかの場合において、子パーティションはそれ自身の更なる子パーティションを発生させることも可能である。ルートパーティション106は、ホストマシンについてのオペレーティングシステムを含み、中央処理装置、メモリー及び他のハードウェアリソースを含むホストのハードウェアへの直接のアクセスを有する。
A virtual environment can be set up on the
仮想化のソフトウェアレイヤー116は、パーティション及びホストマシン上のハードウェア120間で編成される。この例において、仮想化ソフトウェアは、パーティション間の通信をサポートするこのレイヤー116における論理チャネル上で子パーティション110にハードウェア120の仮想のビューを見せるハイパーバイザーを含む。ゲストマシンから仮想ハードウェアへの要求は、論理チャネル上で親又はルートパーティションに向けられる。ルートパーティションはその後、要求を管理し、チャネル上に応答を返すことになる。要求及び応答処理の全体は、ゲストマシン上で実行しているオペレーティングシステムに完全に明白である。
The virtualization software layer 116 is organized between the partitions and the
仮想化がうまく実行し、かなりの柔軟性及び経済価値を提供する一方で、ホストマシンがウイルス、トロイの木馬、キーロガー等のマルウェアで感染されるとき、潜在的なセキュリティの脅威が存在する。ゲストマシンが子パーティション110上で開始されると、ホスト上のマルウェアは、ゲスト上のデーターを盗む又は改ざんする機会を提供される可能性がある。さらに、ゲストマシンがリモートの企業ネットワーク等のネットワークへアクセスするために使用される場合、マルウェアはゲストマシンを介してネットワーク上のリソース及びデーターへの不正アクセスを獲得する可能性がある。
While virtualization performs well and provides considerable flexibility and economic value, there are potential security threats when the host machine is infected with malware such as viruses, Trojan horses, keyloggers and the like. When a guest machine is started on a
NAP/NAC(Network Access Protection/Control)等のセキュリティソリューションが、所与の準拠ポリシーに適合することを検証することにより、ゲストマシンのヘルスを検査するために利用可能である。例えば、ポリシーは、ゲストマシンが最近のセキュリティパッチで十分にアップデートされていて現在の署名に最新で、実行しているアンチウイルス又はアンチマルウェアのソフトウェアプログラムを有し、適切に構成されているソフトウェアのファイヤーウォールを有すこと等を指定する可能性がある。しかし、現在のソリューションは、ゲストマシンのためだけの準拠の検査を実行し、ホストマシンのヘルスを無視する。従って、ゲストマシンが十分に準拠し健全であることを見つけられるときでさえ、現在のソリューションはホストマシン上に常駐される可能性のあるマルウェアへのゲストマシンの露出に対処しない。 Security solutions such as NAP / NAC (Network Access Protection / Control) can be used to check the health of guest machines by verifying that they conform to a given compliance policy. For example, a policy might be that a guest machine is fully updated with recent security patches, has an up-to-date signature, has an anti-virus or anti-malware software program running, and is properly configured. There is a possibility of specifying having a firewall. However, current solutions perform compliance checks only for guest machines and ignore the health of the host machine. Thus, even when the guest machine is found to be fully compliant and healthy, current solutions do not address the exposure of the guest machine to malware that may reside on the host machine.
図2は、感染したホストによる攻撃からゲストマシンを保護するための現在の編成が実施される可能性のある例示的な仮想化環境200を示している。仮想のゲストマシン205は、リモートの会社のネットワーク223(コーポネット(corponet))等のネットワークへの接続215を有するPC等のホストマシン210上で操作可能である。ネットワーク接続215は、例えばVPN(Virtual Private Network)、SSL(Secure Sockets Laer)ベースのVPN、VPN over IPSec(Internet Protocol Security over VPN)、及び同様のものを含む様々なリモートのネットワーキングプロトコルのうちの1つを使用して実施することができる。代替として、ネットワーク接続215は、例えば、本出願の譲受人により所有され、その全体を本明細書に参照して組み込まれる「Globally Distributed Infrastructure for Secure Content Management」というタイトルで2008年6月29日に出願された米国特許出願番号12/164,078において説明されているように、グローバルSCM(Secure Content Management)インフラストラクチャーを使用して実施することができる。
FIG. 2 illustrates an
コーポネット223におけるネットワーク接続215のエンドポイントは、下記で詳細に説明される準拠ポリシーサーバー230とともにポリシー施行ポイント226である。(図2におけるデーター234により集合的に特定される)企業リソース及びデーターは、コーポネット223において利用可能であり、窃盗及び悪意のある攻撃に対して保護することを所望するいくつかの権利財産、慎重に扱うべき及び/又は機密情報を通常含む。コーポネット223は、ビジネス又は企業の従業員のITニーズをサポートするために要求される可能性のあるものとして、クライアントコンピューター、ワークステーション、ラップトップ、モバイルデバイス及び同様のもの(図示せず)等の他のデバイスをサポートするために通常編成される。他のデバイスは、コーポネット223でローカルに展開されるか又はいくつかの場合にコーポネットからリモートで展開されるかのいずれかの可能性がある。
The endpoint of the
エッジファイアウォール239は、インターネット242等のコーポネット及び外部ネットワーク間のトラフィックを監視するために設定されるコーポネット223における境界に配置される。電子メール及びウェブサーバー及びデーターベース等の外部リソース245はインターネット242上で通常アクセス可能である。
The
ユーザーは、示されるUSBドライブ等のポータブルのストレージメディア253からホストマシン210へユーザーのデスクトップ画像250をロードすることにより、仮想化環境200を作成する可能性がある。ポータブルのストレージメディア253はいくつかの場合において仮想化ソフトウェア116を含む可能性もある。デスクトップ画像250が子パーティションに転送されて仮想化ソフトウェアが操作可能であるとき、ゲストマシン205がホストマシン210上でインスタンス化され、ホスト上のデスクトップ、アプリケーション、データー、設定及び優先度を含んでいるユーザーのコンピューターを仮想化する。ゲストマシン205上で仮想化されるオブジェクト(つまりアプリケーション、データー等)の特別な混合は実装により変えることができ、全てのオブジェクトがそれぞれの実装により仮想化される必要はないことに留意する。
The user may create the
ホストマシン210はコーポネット223から通常リモートで位置付けられ、セキュリティ保護の観点からコーポネットの一方として密接に制御又は監視されないことの多い、キオスク、図書館等の公にアクセス可能なPC、又は家ベースのコンピューターを含む可能性がある。その結果、(参照番号252により示される)マルウェアは、ゲストマシン205の侵害についての可能性を有するホストマシンに感染する可能性がある。
The
図3に示すように、ホストマシン210上のマルウェアの脅威を対処するために、ホストのヘルスエージェント305は、ホスト上で実行するように設定され、準拠ポリシー308へのホストの適合性を検査する。準拠ポリシー308は、いくつかの実装における子パーティション上で最初に初期化されるときにゲストマシン205上にローカルに格納される可能性があるか、又はその他における準拠ポリシーサーバー230(図2)から取り出される可能性がある。準拠ポリシー308はホストマシン210についての最小の受け入れ可能なヘルスの条件を通常指定することになる。このような条件は実装により変わるか、又はセキュリティ管理者により設定することが可能である。例えば、準拠ポリシー308は、ホストマシン210が最新のセキュリティアップデートでパッチをあてられ、アンチウイルス製品又はサービスにより保護することを指定することができる。単一のポリシーがこの例において例示的に使用される一方で、一部のアプリケーションにおいて、複数の準拠ポリシーが利用される可能性がある。
As shown in FIG. 3, to address malware threats on the
ホストのヘルスエージェント305及びローカルに格納された準拠ポリシーは、ポータブルのストレージメディア253(図2)に格納され、初期化の間、ホストマシン及びゲストマシンの各々に転送することができる。一部の実装において、ホストのヘルスエージェント305は、ホストマシン210上で実行する可能性があるか、さもなければ同様のNAP機能を含む可能性のある、NAPクライアント若しくは他のコンポーネント又はエージェントの一部として実装される可能性がある。
The
ホストのヘルスエージェント305は、例えばセキュリティパッチの状態(「状態」という用語は、最後のパッチが何か及びいつインストールされたかを意味する)、アンチウイルス及び/又はアンチマルウェアのソフトウェアの存在、ウイルス又はマルウェアの署名のアップデートの存在、ホストマシンがゲストマシンを実行するために認証されることを示す(例えばホストマシンが企業又はコーポネットのIT資産である)ための指定の証明書/ファイル/登録キーの存在、適切に設定されたソフトウェアのファイヤーウォールの存在等を含むホストマシンのヘルスを示す様々な要素を検査できる。ここに挙げられた要素は例示であることを意図し、特定の実装のニーズを満たすために要求される他の要素も利用することができることに留意する。
The
ホストのヘルスエージェント305はさらに、ゲストマシン205のコンポーネントである対応するゲストのヘルスエージェント312と通信するように構成される。特にホストのヘルスエージェント305は、ホストのヘルスエージェントが検査を実行した後に、ホストマシンのヘルスを示す準拠の宣言320を生成し得る。準拠の宣言320は、例えばゲストのヘルスエージェントからの要求に応答して、ゲストのヘルスエージェント312にホストのヘルスエージェント305により送ることができる。選択的に、ホストのヘルスエージェント305は、他のトリガー又は条件の発生で、若しくは所定の時刻に、自身の主導で準拠の宣言320を送信することができる。
The
ホストのヘルスエージェント305は、ゲストのヘルスエージェント312の代わりに、準拠ポリシーサーバー230(又はポリシー施行ポイント226)に準拠の宣言320を送るように構成することができる。この場合に、準拠ポリシーサーバー230は準拠の宣言320を確認することができる。ホストマシン210が適用可能なポリシーに準拠していることが発見される場合、準拠ポリシーサーバー230はホストのヘルスエージェント305に署名されたヘルスの証明書322を発行することができる。ホストのヘルスエージェント305は、ゲストのヘルスエージェント312からの要求を受け取るとき、署名されたヘルス証明書322をゲストのヘルスエージェントに送信することができる。
The
ゲストのヘルスエージェント312は、ゲストマシン205が操作し得る安全な仮想化環境が存在するかどうかを判定するために、ローカルに準拠の宣言320(又は署名されたヘルス証明書322)を使用することができる。さらにゲストマシン205は、外部ネットワーク又はコーポネット223(図2)にアクセスするとき、準拠の宣言320(又は署名されたヘルス証明書322)をポリシー施行ポイント226に転送することができる。これらの用途のそれぞれはさらに、下記の図4及び図5におけるフローチャートに示した用途シナリオにおいてさらに示している。フローチャートは、図2及び図3で示した要素を指し、添付のテキストで説明する。
The
図4は、ホストのヘルスエージェント305が、ホスト上のゲストマシン205の起動又は初期化処理におけるいくつかのポイントで、ホストマシン210のヘルスを検査する、第1の例示的な用途シナリオ400のフローチャートを示している。例えば、図書館、キオスク又はサイバーカフェといった公共の場所に配置され得る未知のホストマシン上で、ユーザーがゲストマシンとしてデスクトップ画像250を開始することを試み度に、検査を行うことができる。ゲストのヘルスエージェント312が始動するポイントで(415)、ゲストマシン205がブート処理を開始するとき(参照番号410により参照される)、シナリオ400は開始する。
FIG. 4 is a flowchart of a first
ゲストのヘルスエージェント312は、ホストマシン210のヘルスを検査することをホストのヘルスエージェント305に要求して(420)、ホストのポリシー308への準拠を確かめることができる。上述したように、検査された特定の要素及びポリシー308により課された要件は実装により変えることができる。ホストのヘルスエージェント305は、要求に応答可能なようにヘルスの検査を実行し(425)、ゲストのヘルスエージェント312に準拠の宣言320を提供する(430)。上述したように代替として、ホストのヘルスエージェント305は、準拠ポリシーサーバー230に準拠の宣言320を提供し、ホストマシン210が適用可能なポリシーに準拠していると判定される場合に、署名されたヘルスの証明書322を戻して受け取る。
The
ゲストのヘルスエージェント312は、ホストのヘルスエージェント305から受け取った準拠の宣言320を、準拠ポリシー308と比較する(435)。(判定ブロック440において)ホストマシン210が準拠していると判定される場合(又は署名されたヘルス証明書322が準拠していることを示す場合)、ゲストマシン205は結果を通してその起動処理を続けることが許可される(445)。これにより仮想化環境200が作成されることが可能となるので、ユーザーのデスクトップ、アプリケーション、設定、優先、データー等の1以上がゲストマシン205上に提供される(406)。
The
ゲストのヘルスエージェントがホストマシン上に存在しないか、又は、ポリシー308に対する準拠の宣言320の比較が、ホストマシン210がポリシーに準拠しないことを示す場合、エラーメッセージは、ゲストマシン205上で実行しているユーザーインターフェースを介して表示されることがある(450)。エラーメッセージは、ホストマシン210の準拠していないことを示す詳細な通知を与えることができるので、ユーザーはホスト上の問題の修正を試みることができる。例えば、ホストマシン210が重要なセキュリティパッチを逃す場合、ユーザーは、ホストをポリシー308の準拠に持ち込むために、パッチのダウンロード及びインストールを行い得る。一度そのように修正されると、ゲストマシン205はブート処理(455)を続けることができるので、仮想化環境がユーザーのために作成される(460)
If the guest health agent does not exist on the host machine, or the comparison of the
図5は、ホストのヘルスエージェント305がホストマシン210のヘルスを定期的に検査する第2の例示的な用途シナリオ500のフローチャートを示している。この例において、ゲストマシン205がコーポネット223等の外部ネットワークにアクセスすることを試みるときに、この検査は実行される(505)。
FIG. 5 shows a flowchart of a second
ポリシー施行ポイント226は、ネットワーク接続215で上記試みを確認するとき、コーポネット223への接続が完了することとなる前に作成された準拠の宣言を要求する(510)。それに応じて、ゲストのヘルスエージェント312はホストのヘルスエージェント305から準拠の宣言320を要求し(515)、ホストのヘルスエージェントはホストマシン210のヘルス検査を実行し、これにより準拠の宣言を生成する(520)。上述したように、代替的に、ホストのヘルスエージェント305は、準拠ポリシーサーバー230に準拠の宣言320を提供し、ホストマシン210が適用可能なポリシーに準拠していると判定される場合に、署名されたヘルスの証明書322を戻して受け取ることができる。
When the
ゲストのヘルスエージェント312は、ポリシー施行ポイント226に準拠の宣言320を転送する(525)。ポリシー施行ポイント226は適用可能な準拠ポリシーに対する宣言を比較する(530)。通常、適用可能なポリシーは準拠ポリシーサーバー230により提供されることになる。さらに、ローカルに格納されたポリシー308の場合において上述されたように、1又は複数のポリシーは、所与の実装におけるホストマシン210へ適用される可能性がある。(判定ブロック535において)ホストのヘルスエージェント305からの準拠の宣言は、ホストマシン210が適用可能なポリシーに準拠していることを示す場合(又は署名されたヘルスの証明書322が準拠していることを示す場合)、ポリシー施行ポイント226はゲストマシン206がコーポネット223へアクセスすることを許可する(540)。
The
ゲストのヘルスエージェントがホストマシン上に存在しておらず、又は、準拠ポリシーサーバー230により供給されるポリシーに対する準拠の宣言320の比較が、ホストマシン210がポリシーに準拠しないことを示す場合、ポリシー施行ポイント226はネットワークアクセスを拒否し(545)、エラーメッセージがゲストマシン205上に実行しているユーザーインターフェースを介して表示される可能性がある(550)。エラーメッセージはホストマシン210の準拠していないことの詳細の通知を与えることができるので、ユーザーはホスト上の準拠の問題を修正することを試みることができる。例えばホストマシン210がホスト上で実行しているアンチウイルス製品についてのマルウェアの署名の最新のアップデートを逃す場合、ユーザーは署名のアップデートのダウンロード及びインストールを行うことができ、ホストを適用可能なポリシーの準拠に持ち込むことができる。そのように修正される場合、ゲストマシン205は、準拠施行ポイント226によりネットワークアクセスを許可されるので(555)、ゲストマシンにおけるユーザーはデーターストア234に書き込み及びデーターストア234から読み出し、及び/又はインターネットベースのリソース245にアクセスをすることができる。
Policy enforcement if the guest health agent is not present on the host machine or the comparison of the
ホストのヘルスエージェント305は他の環境の下でホストマシン210のヘルスを検査するために利用されることもある。例えば、仮想化環境の完全性が侵害される疑いのある場合、ゲストのヘルスエージェントは、適用可能なポリシーへの継続した準拠を検証及び/又は確認するために、ホストのヘルスエージェントからヘルスの宣言を要求することができる。一つの例示的な例において、ESASセキュリティモデル下のセキュリティ評価はこのような疑いを引き起こすために受け取られる可能性がある。
The
図6は、セキュリティ評価がエンドポイント6101,2、…Nと呼ばれる複数のセキュリティゲートウェイ間で共有されることを可能にするためにチャネル605が提供される例示的ESAS編成600を示している。企業のネットワークセキュリティについてのESASベースのセキュリティモデルは、本出願の譲受人により所有され、その全体を本明細書に参照して組み込まれる「Enterprise Security Assessment Sharing」というタイトルで、2007年3月14日に出願された米国特許出願番号11/724,061において説明され、これは、セキュリティ事故の高められた検知を提供し、企業規模の閲覧を可能にし、セキュリティ事故への自動的な応答についての明白でかつ単純で一元化された企業規模の応答ポリシーをセキュリティ管理者が定義しかつ施行することを可能にする。
FIG. 6 shows an
ESASは企業のセキュリティ環境においてエンドポイント間のセキュリティ関連情報を共有することを可能にするセキュリティ評価と呼ばれる意味抽象(semantic abstraction)に依存する。この例では、企業のセキュリティ環境は、コーポネット223(図2)もユーザーもマシンも含むことができ、例えばグローバルSCMインフラストラクチャーを使用した分散編成を(ゲストマシン205及びホストマシン210を含んで)サポート又は包含する。
ESAS relies on a semantic abstraction called security evaluation that allows security related information to be shared between endpoints in an enterprise security environment. In this example, the enterprise security environment can include both the Corponet 223 (FIG. 2), users, and machines, eg, a distributed organization using the global SCM infrastructure (including
セキュリティ評価は、コンピューター、ユーザー、サービス、ウェブサイト、データー又は企業等、全体としての環境において興味のあるオブジェクトについて収拾される情報(つまりいくつかの状況におけるデーター)への広範囲の文脈上の意味(contextual meaning)のエンドポイントによる暫定的な割り当てとして定義される。セキュリティ評価は、環境におけるオブジェクトが検知された事故の重大度(例えば、低、中間、高、重要)とともに「侵害される(compromise)」又は「攻撃下」等の特定の評価カテゴリーになることを明らかにするために、エンドポイントについて簡潔な語彙を利用する。 Security assessment has a broad contextual meaning to information (ie data in some situations) that is collected about objects of interest in the environment as a whole, such as computers, users, services, websites, data or businesses. Contextual meaning) defined as a provisional assignment by the endpoint. Security assessments indicate that objects in the environment will be in a specific assessment category such as “compromise” or “under attack” along with the severity of the detected accident (eg, low, medium, high, critical). Use a concise vocabulary for endpoints to clarify.
セキュリティ評価は、いくつかの不確定さがあり、制限された時間の間は有効であるので、暫定的である。セキュリティ評価の暫定的な性質は、文脈上の意味の割り当てにおいてエンドポイントが有する信頼のレベルを表現する信用分野、及びセキュリティ評価が有効であると期待される時間期間のエンドポイントの見積もりを反映するTTL(time-to-live)分野である、構成要素のうちの2つにおいて反映される。従って例えば、1以上のセキュリティ事故のエンドポイントの現在の理解を考慮して、特定のマシンは重大度の危機的なレベルでかつ中間の信用度、及び30分のTTLを有して侵害されることを明らかにするために、セキュリティ評価がエンドポイントにより使用される可能性がある。 The security evaluation is tentative because there are some uncertainties and it is valid for a limited time. The tentative nature of the security evaluation reflects a trust domain that represents the level of trust the endpoint has in assigning contextual meaning, and an estimate of the endpoint for the time period in which the security evaluation is expected to be effective Reflected in two of the components, which are TTL (time-to-live) fields. Thus, for example, given the current understanding of one or more security incident endpoints, a particular machine is compromised with a critical level of severity and an intermediate credit rating, and a TTL of 30 minutes Security assessment may be used by endpoints to clarify
様々なタイプのセキュリティ評価は、任意の所与の企業ネットワーク環境において利用することができる。これらは例えば、評価のカテゴリー及びオブジェクトタイプの様々な組み合わせを含み得る。 Various types of security assessments can be utilized in any given enterprise network environment. These may include, for example, various combinations of rating categories and object types.
ESASは通常多くの利点を提供する。簡潔な語彙を有するセキュリティ評価を採用することにより、企業におけるデーター全体の複雑さは大幅に減らされ、意味のある情報のみがエンドポイント間で共有される。セキュリティ評価の使用により、中央の格納位置における大量の生のデーターを収集する必要性も取り除き、これにより非常に拡張性の高い企業セキュリティのソリューションを費用対効果ベースで構築することが可能になる。さらに、新しいエンドポイントはオンデマンドの拡張性でわかりやすく展開され得る。セキュリティ評価は、既存のエンドポイント内の任意の応答ポリシーを再設定する必要なく新しいエンドポイント及び既存のエンドポイント間で共有することができる。新しいエンドポイントは、既存のエンドポイントが既に理解された意味抽象を使用して、セキュリティ評価の新しいソースとして単に機能する。セキュリティ評価の利用により、企業規模のセキュリティポリシーは、各エンドポイントが企業内で作成することがあるセキュリティイベントの全てを理解することなく、非常にコンパクトで明白な方法論を使用して設置することも可能にし、その後、各イベントについてのそれぞれの動作を説明することを試みる。 ESAS usually offer many advantages. By employing a security assessment with a concise vocabulary, the complexity of the entire data in the enterprise is greatly reduced and only meaningful information is shared between endpoints. The use of security assessments also eliminates the need to collect large amounts of raw data in a central storage location, thereby enabling a highly scalable enterprise security solution to be built on a cost-effective basis. In addition, new endpoints can be easily deployed with on-demand scalability. Security ratings can be shared between new and existing endpoints without having to reconfigure any response policy within the existing endpoint. The new endpoint simply serves as a new source of security evaluation, using the semantic abstraction that the existing endpoint has already understood. Through the use of security assessments, enterprise-wide security policies can also be set up using a very compact and obvious methodology without having to understand all of the security events that each endpoint may create within the enterprise. And then try to explain each action for each event.
ESASセキュリティモデル下において、企業ネットワークのユーザーは企業環境におけるITアセットの利用を支配するセキュリティポリシーが課される。特に、セキュリティポリシーは通常、少なくとも一部でエンドポイント610により施行される。セキュリティポリシーは通常、ユーザーがどの情報にアクセスすることがあるか、どの種類の情報がアクセスされ得るか、及び、許容できかつ許容できない振る舞いがいつか、企業内の監査実務等を支配する。
Under the ESAS security model, corporate network users are subject to security policies that govern the use of IT assets in the corporate environment. In particular, the security policy is typically enforced at least in part by the
例えばエンドポイント610は、企業内のセキュリティ関連データーの異なる部分に関して監視、評価及び動作を取るセキュリティ製品を含むことがある。例えば図6に示すように、コーポネット223は、エッジファイヤーフォール製品6101、1以上の特化した事業用(line-of-business)のセキュリティゲートウェイ製品6102、ホストのセキュリティ製品610Nを含むセキュリティ製品の組み合わせを利用することがある。この特定の例示的な例では利用しない一方で、他のタイプのセキュリティ製品も、例えばビジネスセキュリティゲートウェイ、情報漏えい保護ゲートウェイ、ウェブアプリケーション保護製品を含むNIDS(Network intrusion detection system)製品、UTM(Unified Thread Management/Security Incident Management)製品、SEM/SIM(Security Event Management/Security Incident Management)製品、NAP製品、並びに使用可能なヘルスの監視及び設定管理製品(例えばマイクロソフト社のウィンドウズ(登録商標)のアップデートのサービス)を含む特定の実装の必要性に依存して利用されることもある。
For example,
エッジファイヤーフォールはインターネットベースの脅威からコーポネット223を保護するために編成されるセキュリティ製品である一方で、アプリケーション及びデーターへのリモートアクセスをユーザーに提供する。例えばエッジファイヤーフォールはマイクロソフト社のISA(Internet Security an Acceleration)(登録商標)サーバーにより具現化することができる。事業用のセキュリティ製品は、アンチウイルス及びアンチスパムの保護を提供するためにコーポネット223において使用される例えばマイクロソフト社のExchange(登録商標)等の電子メールアプリケーションを含む様々な事業用のアプリケーションを保護する。ホストのセキュリティ製品の商業の例は、マイクロソフト社のTMG(Threat Management Gateway)製品であり、企業のデスクトップ、ラップトップ及びサーバーオペレーティングシステムについて一元化されたマルウェアの保護を提供する。
Edgefire Fall is a security product that is organized to protect
最も典型的なESASの実装において、ESAS中央サーバー616と呼ばれる特化したエンドポイントも利用されることがある。ESAS中央サーバー616はセキュリティ評価チャネル605に接続され、全てのセキュリティ評価への登録、セキュリティ評価のロギング、及び環境におけるセキュリティ事故に応答してエンドポイント610によって取られるローカルの動作をもロギングすることにより、集中型の会計ポイントとして動作する。ESAS中央サーバー616は、エンドポイント610の全体及びそれぞれとして企業の歴史及び現在の状態の包括的なビューを管理者に提供する。セキュリティ評価の利用は、管理者が企業全体に渡って検知される事故への応答ポリシーをコンパクト及び効率的に設定することを可能にする。セキュリティ評価は、企業規模のセキュリティの応答ポリシーを定義するために、自然のアンカー(natural anchor)又は開始ポイントとして機能する。簡素化及び一貫した管理インターフェースは従って、企業全体に渡るセキュリティ評価の各タイプについて所望の応答を定義することができる。
In the most typical ESAS implementations, a specialized endpoint called ESAS
エンドポイント610はさらに、この環境において動作するセキュリティ評価チャネル上にセキュリティ評価を発行すると同時に、他のエンドポイントにより発行される利用可能なセキュリティ評価のサブセットに登録するための機能を実現する。アクティブである(つまり評価がまだ有効であることを示すTTLを有する)この環境において存在するセキュリティ評価は、このようなエンドピント610に自身のローカルに利用可能な情報を見るための新しい方法を与えるセキュリティコンテキストを提供するために機能する。
つまり、セキュリティコンテキストは、潜在的なセキュリティ事故の検知の質を大きく高めるために、エンドポイント610が様々な異なるソースから受け取られ、オブジェクトのタイプに渡るセキュリティ評価から証拠を結合又は相関することを可能にする。エンドポイント610はその後、応答ポリシーのセットに従って、セキュリティ評価のそれぞれのタイプについて(別のエンドポイントから受け取られたか又はエンドポイント自身により内部で生成されたかのいずれかである)、ローカルの動作又は応答が適切かに関しての判定を行う。事故の検知は、セキュリティコンテキストが、(ほとんどが任意のコンテキストの不足のために完全に不適切である)企業を通して大量の生のデーターを共有する負担なく、セキュリティ評価の形式で、企業規模の情報の分散された処理を可能にするので、効率的及び費用効果的の両方である。エンドポイント610はローカルの動作を促進したセキュリティ評価の期限切れの上で(つまり、セキュリティ評価がTTLフィールドにおいて指定された有効期限を超える)、ローカルの動作をロールバックするようさらに編成される。
That is, the security context allows
この例示的な例において、ゲストマシン205は、ホストマシン210を巻き込むセキュリティ事故を特定するセキュリティ評価チャネル605上で受け取られるセキュリティ評価への登録者としても構成される。従ってセキュリティ評価チャネル605は、例えばVPN/SSL接続を通して又はグローバルSCMアクセスを使用してゲストマシンに仮想的及び論理的に拡張される可能性がある。
In this illustrative example,
図7は、セキュリティ評価が適用可能なポリシーへのホストマシンの準拠の検査を引き起こすのに使用される例示的なシナリオ700を示している。シナリオ700は4つの段階で説明することができる。参照番号710により示すように、ホストが振る舞いについての最もありがちな説明がセキュリティ侵害の存在であるインターネット242にあまりに多くの接続を作成するので、エッジファイヤーフォール6101は例えばホストマシン210が潜在的に侵害されることを最初に示す。
FIG. 7 illustrates an
第2に、エッジファイヤーフォール6101は、エンドポイント610に登録するためのセキュリティ評価チャネル605上に、参照番号720により示すようにホストマシンが高い重大性及び高い信用で「侵害」される疑いを示すセキュリティ評価を送る。第3に、ゲストマシン205はホストを巻き込むセキュリティ評価への登録者であるので、セキュリティ評価チャネル605上でセキュリティ評価720を受け取ることになる。セキュリティ評価720はホストマシン上のルートパーティションが悪意のある目的で接続を作るマルウェアを含む疑いを起こす。このような疑いが確認される場合、仮想化環境は不健全である可能性があり、ゲストマシン205は危険にさらされている可能性がある。従って、受け取られたセキュリティ評価720は、ホストマシン210のヘルスの検査を実行するためにホストのヘルスエージェント305に対してゲストのヘルスエージェント312からの要求を引き起こすために使用することができる。ホストのヘルスエージェント305は要求に応答可能なように検査を実行し、ゲストのヘルスエージェント312への結果を示すために準拠の宣言320を提供する。準拠の宣言320は問題を示し、その後ユーザーは通知される可能性があるので、修正を達成できる。
Second, the edgefire fall 610 1 suspects that the host machine will be “breached” with high severity and high trust, as indicated by
さらに、いくつかの実装において、セキュリティ評価720を受け取る登録エンドポイント6101,2、…N及びESAS中央サーバー616は、動作を引き起こすための自身の相関ルール及びローカルに利用可能なデーターの適用を通して特定のセキュリティの見解を適用するのに使用することができる。エンドポイント610の動作はゲストマシン205上で実行でき、ホストマシン上で検知されるセキュリティ事故によりゲストが侵害されていたか否かを検査し、任意の侵害を修正及び/又は健全であるとして検証されるまでゲストマシンをコーポネット又は他のITオブジェクトから隔離する。エンドポイント610によりとられる動作はホストマシン210に代替的に適用される可能性がある一方で、いくつかの実装においてゲストマシン205及びホストマシン210の両方が動作の目的である可能性がある。典型的に、取られる特定の動作及び適用されるITオブジェクトは、コーポネット又は企業環境において設定及び実装される応答ポリシーに支配される。
Further, in some implementations, registered
図7における参照番号740により選択的に示されるように、受け取られたセキュリティ評価に応答してエンドポイント610により取られる動作は、オンデマンドのアンチウイルスのスキャンを実行するホストのセキュリティエンドポイント610Nを例示的に含む。さらに、示されるように、事業用のセキュリティエンドポイント6102はインスタントメッセージ(IM)又は電子メールのトラフィックを一時的に中断することができる。ESAS中央サーバー616はセキュリティ分析者(例えば管理者)に警告を発し、セキュリティ評価及び呼び出された全ての動作のログも取る。これらの動作が例示として意図され、他のエンドポイントにより取られる他の動作が所与の実装及び用途シナリオの必要性を満たすために利用され得ることが強調される。
As selectively illustrated by
主題は、構造的な特徴及び/又は方法論的な動作のために特有の言語において説明したが、添付の特許請求の範囲に定義された主題は、上述の特有の特徴又は動作に限定される必要性はないと理解される。さらに、上述の特有の特徴及び動作は特許請求の範囲を実装するための例示的な形式として開示される。 Although the subject matter has been described in a specific language for structural features and / or methodological operations, the subject matter defined in the appended claims needs to be limited to the specific features or operations described above. It is understood that there is no sex. Furthermore, the specific features and acts described above are disclosed as example forms of implementing the claims.
Claims (15)
前記ホストマシン(210)の前記子パーティション(110)上の前記ゲストマシン(205)のブート処理を初期化するステップと、
準拠ポリシー(308)への前記ホストマシン(210)の準拠を判定するために、前記ホストマシン(210)上のルートパーティション(106)と通信するステップと、
前記ホストマシン(210)が前記準拠ポリシー(308)に準拠していると判定された場合に、仮想化環境(100)を作成するために前記子パーティション(110)における前記ゲストマシン(205)の前記ブート処理を完了するステップと、
前記ホストマシン(210)が前記準拠ポリシー(308)に準拠していないと判定される場合に、前記子パーティション(110)における前記ゲストマシン(205)の前記ブート処理を終了するステップと
を備えたことを特徴とする方法。 A method for operating a guest machine (205) created in a child partition (110) operated on a host machine (210),
Initializing boot processing of the guest machine (205) on the child partition (110) of the host machine (210);
Communicating with a root partition (106) on the host machine (210) to determine compliance of the host machine (210) with a compliance policy (308);
When it is determined that the host machine (210) is compliant with the compliance policy (308), the guest machine (205) in the child partition (110) is created to create a virtualized environment (100). Completing the boot process;
Ending the boot process of the guest machine (205) in the child partition (110) when it is determined that the host machine (210) does not comply with the compliance policy (308). A method characterized by that.
前記ゲストマシン(205)からネットワーク(223)への接続要求を受け取るステップと、
前記ゲストマシン(205)から、前記ホストマシンのヘルスの状況を示す準拠の宣言(320)を要求するステップと、
前記ホストマシン(210)についての最小のヘルスの条件を指定する1つ又は複数の準拠ポリシーに対して、前記準拠の宣言(320)を比較するステップと、
前記準拠の宣言(320)が、前記ホストマシン(210)が前記1又は複数の準拠ポリシーに準拠することを示す場合に、前記ネットワーク(223)への前記ゲストマシン(205)によるアクセスを許可するステップと、
前記準拠の宣言(320)が、前記ホストマシン(210)が前記1又は複数の準拠ポリシーに準拠しないことを示す場合に、前記ネットワーク(223)に接続する前記要求を拒否するステップと
を備えたことを特徴とする方法。 A method for managing network access from a guest machine (205) running on a child partition (110) of a host machine (210),
Receiving a connection request from the guest machine (205) to the network (223);
Requesting a declaration of conformity (320) indicating the health status of the host machine from the guest machine (205);
Comparing the declaration of compliance (320) against one or more compliance policies that specify minimum health conditions for the host machine (210);
Permit access by the guest machine (205) to the network (223) if the compliance declaration (320) indicates that the host machine (210) complies with the one or more compliance policies. Steps,
Rejecting the request to connect to the network (223) when the compliance declaration (320) indicates that the host machine (210) does not comply with the one or more compliance policies. A method characterized by that.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/199,812 US8954897B2 (en) | 2008-08-28 | 2008-08-28 | Protecting a virtual guest machine from attacks by an infected host |
US12/199,812 | 2008-08-28 | ||
PCT/US2009/052438 WO2010025007A2 (en) | 2008-08-28 | 2009-07-31 | Protecting a virtual guest machine from attacks by an infected host |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2012510650A true JP2012510650A (en) | 2012-05-10 |
JP2012510650A5 JP2012510650A5 (en) | 2012-09-13 |
JP5518865B2 JP5518865B2 (en) | 2014-06-11 |
Family
ID=41722206
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011525050A Active JP5518865B2 (en) | 2008-08-28 | 2009-07-31 | Protecting virtual guest machines from attacks by infected hosts |
Country Status (5)
Country | Link |
---|---|
US (1) | US8954897B2 (en) |
EP (1) | EP2318975B1 (en) |
JP (1) | JP5518865B2 (en) |
CN (1) | CN102132287B (en) |
WO (1) | WO2010025007A2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9697025B2 (en) | 2013-07-02 | 2017-07-04 | International Business Machines Corporation | Managing virtual machine policy compliance |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9015789B2 (en) * | 2009-03-17 | 2015-04-21 | Sophos Limited | Computer security lock down methods |
US9426179B2 (en) | 2009-03-17 | 2016-08-23 | Sophos Limited | Protecting sensitive information from a secure data store |
US9621584B1 (en) | 2009-09-30 | 2017-04-11 | Amazon Technologies, Inc. | Standards compliance for computing data |
US9087188B2 (en) * | 2009-10-30 | 2015-07-21 | Intel Corporation | Providing authenticated anti-virus agents a direct access to scan memory |
US8321940B1 (en) * | 2010-04-30 | 2012-11-27 | Symantec Corporation | Systems and methods for detecting data-stealing malware |
US9111079B2 (en) | 2010-09-30 | 2015-08-18 | Microsoft Technology Licensing, Llc | Trustworthy device claims as a service |
US9100425B2 (en) | 2010-12-01 | 2015-08-04 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using generic signatures |
US9218461B2 (en) * | 2010-12-01 | 2015-12-22 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions |
US20120144489A1 (en) * | 2010-12-07 | 2012-06-07 | Microsoft Corporation | Antimalware Protection of Virtual Machines |
US20130031371A1 (en) * | 2011-07-25 | 2013-01-31 | Alcatel-Lucent Usa Inc. | Software Run-Time Provenance |
US8843915B2 (en) * | 2011-07-28 | 2014-09-23 | Hewlett-Packard Development Company, L.P. | Signature-based update management |
US8782351B2 (en) | 2011-10-13 | 2014-07-15 | International Business Machines Corporation | Protecting memory of a virtual guest |
US8788763B2 (en) | 2011-10-13 | 2014-07-22 | International Business Machines Corporation | Protecting memory of a virtual guest |
US9032520B2 (en) | 2012-02-22 | 2015-05-12 | iScanOnline, Inc. | Remote security self-assessment framework |
US8839447B2 (en) * | 2012-02-27 | 2014-09-16 | Ca, Inc. | System and method for virtual image security in a cloud environment |
US9058504B1 (en) * | 2013-05-21 | 2015-06-16 | Malwarebytes Corporation | Anti-malware digital-signature verification |
US9065854B2 (en) | 2013-10-28 | 2015-06-23 | Citrix Systems, Inc. | Systems and methods for managing a guest virtual machine executing within a virtualized environment |
US9762603B2 (en) * | 2014-05-10 | 2017-09-12 | Informatica Llc | Assessment type-variable enterprise security impact analysis |
US9851998B2 (en) | 2014-07-30 | 2017-12-26 | Microsoft Technology Licensing, Llc | Hypervisor-hosted virtual machine forensics |
US10425447B2 (en) * | 2015-08-28 | 2019-09-24 | International Business Machines Corporation | Incident response bus for data security incidents |
US9990222B2 (en) * | 2016-03-18 | 2018-06-05 | Airwatch Llc | Enforcing compliance rules against hypervisor and virtual machine using host management component |
US10142364B2 (en) * | 2016-09-21 | 2018-11-27 | Upguard, Inc. | Network isolation by policy compliance evaluation |
US10795991B1 (en) * | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10554492B2 (en) | 2017-06-09 | 2020-02-04 | Microsoft Technology Licensing, Llc | Physical machine management in distributed computing systems |
US11030057B2 (en) * | 2018-07-06 | 2021-06-08 | EMC IP Holding Company LLC | System and method for critical virtual machine protection |
US11604671B2 (en) | 2020-03-19 | 2023-03-14 | Red Hat, Inc. | Secure virtual machine and peripheral device communication |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005096121A1 (en) * | 2004-04-02 | 2005-10-13 | Matsushita Electric Industrial Co., Ltd. | Execution device |
WO2007007805A1 (en) * | 2005-07-14 | 2007-01-18 | Matsushita Electric Industrial Co., Ltd. | Verification method, verification program, recording medium, information processor, and integrated circuit |
WO2007136192A1 (en) * | 2006-05-18 | 2007-11-29 | Sanggyu Lee | Method for protecting client and server |
JP2008165794A (en) * | 2006-12-29 | 2008-07-17 | Intel Corp | Embedded mechanism for platform vulnerability assessment |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6609199B1 (en) * | 1998-10-26 | 2003-08-19 | Microsoft Corporation | Method and apparatus for authenticating an open system application to a portable IC device |
GB2376765B (en) * | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments with verifiable environment identities |
GB2376764B (en) * | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments |
US7127597B2 (en) * | 2002-09-24 | 2006-10-24 | Novell, Inc. | Mechanism for controlling boot decisions from a network policy directory based on client profile information |
US7370324B2 (en) * | 2003-09-30 | 2008-05-06 | Intel Corporation | Switching between a service virtual machine and a guest virtual machine in a virtual machine monitor environment |
US20050132122A1 (en) * | 2003-12-16 | 2005-06-16 | Rozas Carlos V. | Method, apparatus and system for monitoring system integrity in a trusted computing environment |
US7370166B1 (en) * | 2004-04-30 | 2008-05-06 | Lexar Media, Inc. | Secure portable storage device |
AU2005222507B2 (en) | 2004-10-15 | 2010-10-28 | Microsoft Corporation | Portable computing environment |
CN1885788B (en) | 2005-06-22 | 2010-05-05 | 杭州华三通信技术有限公司 | Network safety protection method and system |
US20070074192A1 (en) * | 2005-08-30 | 2007-03-29 | Geisinger Nile J | Computing platform having transparent access to resources of a host platform |
CN100437420C (en) | 2005-09-30 | 2008-11-26 | 联想(北京)有限公司 | Computer system and its safety encryption |
CN100420202C (en) * | 2005-10-20 | 2008-09-17 | 联想(北京)有限公司 | Computer management system and computer management method |
AU2007243473A1 (en) * | 2006-04-24 | 2007-11-08 | Encryptakey, Inc. | Portable device and methods for performing secure transactions |
US7743422B2 (en) * | 2006-08-21 | 2010-06-22 | International Business Machines Corporation | System and method for validating a computer platform when booting from an external device |
US8510859B2 (en) | 2006-09-26 | 2013-08-13 | Intel Corporation | Methods and arrangements to launch trusted, co-existing environments |
US8949825B1 (en) | 2006-10-17 | 2015-02-03 | Manageiq, Inc. | Enforcement of compliance policies in managed virtual systems |
US9015703B2 (en) * | 2006-10-17 | 2015-04-21 | Manageiq, Inc. | Enforcement of compliance policies in managed virtual systems |
US7765374B2 (en) * | 2007-01-25 | 2010-07-27 | Microsoft Corporation | Protecting operating-system resources |
US8959568B2 (en) | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
CN100555298C (en) | 2007-06-08 | 2009-10-28 | 北京飞天诚信科技有限公司 | The method and apparatus of virtulizing personal office environment |
US8418173B2 (en) * | 2007-11-27 | 2013-04-09 | Manageiq, Inc. | Locating an unauthorized virtual machine and bypassing locator code by adjusting a boot pointer of a managed virtual machine in authorized environment |
US20090178131A1 (en) | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
-
2008
- 2008-08-28 US US12/199,812 patent/US8954897B2/en active Active
-
2009
- 2009-07-31 CN CN200980134101.5A patent/CN102132287B/en active Active
- 2009-07-31 JP JP2011525050A patent/JP5518865B2/en active Active
- 2009-07-31 EP EP09810429.2A patent/EP2318975B1/en active Active
- 2009-07-31 WO PCT/US2009/052438 patent/WO2010025007A2/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005096121A1 (en) * | 2004-04-02 | 2005-10-13 | Matsushita Electric Industrial Co., Ltd. | Execution device |
JP2007226277A (en) * | 2004-04-02 | 2007-09-06 | Matsushita Electric Ind Co Ltd | Method and apparatus for virtual machine alteration inspection |
WO2007007805A1 (en) * | 2005-07-14 | 2007-01-18 | Matsushita Electric Industrial Co., Ltd. | Verification method, verification program, recording medium, information processor, and integrated circuit |
WO2007136192A1 (en) * | 2006-05-18 | 2007-11-29 | Sanggyu Lee | Method for protecting client and server |
JP2008165794A (en) * | 2006-12-29 | 2008-07-17 | Intel Corp | Embedded mechanism for platform vulnerability assessment |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9697025B2 (en) | 2013-07-02 | 2017-07-04 | International Business Machines Corporation | Managing virtual machine policy compliance |
US10108444B2 (en) | 2013-07-02 | 2018-10-23 | International Business Machines Corporation | Managing virtual machine policy compliance |
Also Published As
Publication number | Publication date |
---|---|
WO2010025007A3 (en) | 2010-04-22 |
WO2010025007A2 (en) | 2010-03-04 |
EP2318975A2 (en) | 2011-05-11 |
US8954897B2 (en) | 2015-02-10 |
US20100058432A1 (en) | 2010-03-04 |
EP2318975B1 (en) | 2018-08-22 |
CN102132287B (en) | 2015-02-11 |
EP2318975A4 (en) | 2013-11-20 |
CN102132287A (en) | 2011-07-20 |
JP5518865B2 (en) | 2014-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5518865B2 (en) | Protecting virtual guest machines from attacks by infected hosts | |
US11483334B2 (en) | Automated asset criticality assessment | |
US9674215B2 (en) | Software program identification based on program behavior | |
US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
US8353036B2 (en) | Method and system for protecting cross-domain interaction of a web application on an unmodified browser | |
US20180089670A1 (en) | Security broker | |
US8352998B1 (en) | Policy evaluation in controlled environment | |
US6850943B2 (en) | Security system and methodology for providing indirect access control | |
US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
US7886065B1 (en) | Detecting reboot events to enable NAC reassessment | |
US20090165132A1 (en) | System and method for security agent monitoring and protection | |
US9183377B1 (en) | Unauthorized account monitoring system and method | |
US20100175108A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
US20100199351A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
US20160269429A1 (en) | Software program identification based on program behavior | |
US20090271863A1 (en) | Identifying unauthorized privilege escalations | |
US20060069692A1 (en) | Electronic computer system secured from unauthorized access to and manipulation of data | |
US9349009B2 (en) | Method and apparatus for firmware based system security, integrity, and restoration | |
US20190005267A1 (en) | Dynamic privilege management in a computer system | |
US20070294699A1 (en) | Conditionally reserving resources in an operating system | |
US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
US20220391506A1 (en) | Automated Interpreted Application Control For Workloads | |
Varadharajan et al. | On the design and implementation of an integrated security architecture for cloud with improved resilience | |
US11729176B2 (en) | Monitoring and preventing outbound network connections in runtime applications | |
US20120174206A1 (en) | Secure computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120724 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120724 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130701 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130718 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131030 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140212 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140304 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140402 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5518865 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |